журналу событий, ну то есть практически - если кто то задумает в event viwer очистить журнал Security, то чтобы записалось кто это сделал и когда
я правильно понимаю, что мне надо лезть в свойства файла какого нибуть C:\Windows\System32\winevt\Logs\Security.evtx, и там включать его аудит?
и что там надо нащелкать все галочки чтобы писались все события по этому файлу?
и куда это запишется, если журнал Security всё же удалят? )
не ответ на твой вопрос, но по последнему пункту - если кто-то удалит логи на твоём хосте, значит у него уже есть достаточные права на модификацию всего локального. Поэтому тут стоить думать в первую очередь про отправку логов на другой сервер
Вроде есть отдельное событие для этого
его надо включать где то отдельно, или по умолчанию запись работает ?
Сам по себе аудит такой бесполезен, ибо хакеры при горизонтальном перемещении юзают краденные учетки админов. Лучше не фиксировать факт очистки журнала, а сделать такую очистку бесполезной. Например, можно делать бэкапы журналов или же сами события форвардить на SIEM.
это в планах на будущее, в том числе закупка SIEM, пока вот такая задача
Тогда попробуйте на своей машине очистить журнал и посмотрите отлогировалось ли событие. Также проверьте, чтобы журналировалось достаточное количество событий, ибо я встречал такое, что из-за переполнения журнала сохранялись события лишь за последние 4 часа. В этом случае хакеру ничего делать и не нужно 😊
в проекте есть и увеличение размера журнала, да
Обсуждают сегодня